【.com原创文章】传统的网络安全架构将不同的网络划分为不同的区域,通过防火墙来隔离不同的区域。每个区域都被授予一定程度的信任,这决定了允许访问哪些网络资源。这种安全建设思想提供了非常强大的纵深防御能力。然而,随着云计算、移动互联网等技术的快速发展,以及企业数字化转型进程的不断推进,传统的内外网边界变得模糊,企业无法再基于传统的物理边界构建安全.传统的安全建设思路已经难以适应企业的快速成长和业务的快速变化。例如,在移动办公场景中,员工、供应商、合作伙伴需要从全球各个地点安全访问企业内网。此外,应用的移动化和数据中心的云化不断带来更多的安全问题。面对日益复杂的安全威胁,企业需要构建全新的网络安全架构。在此背景下,零信任应运而生,成为网络安全发展的必然趋势。首先,什么是零信任?2010年,Forrester分析师JohnKindervag正式提出“零信任模型”。关于零信任,他提到了三个核心点:不再有明确的边界来划分可信或不可信的设备;不再有可信或不可信的网络,也不再有可信或不可信的用户。其研究报告指出,将网络安全融入网络建设,默认安全也是IT基础设施的一部分,采用零信任网络架构可以实现:1)Segmentation——细粒度网络分区,采用细粒度区域划分为网络隔离安全事件的传播和发生。2)并行——建设多个并行的流量交换和监控点Microcore和Perimeter(MCAP),作为各区域的流量交换、监控和安全防御点。3)Centralization——集中网络和安全管理Segmentationgateway(SG),collectionandfirewall,IPS,WAF,NAC,contentfilteringgateway...SG定义全局策略和流量分配。从2011年到2017年,谷歌用了6年时间迁移到BeyondCorp零信任环境。在此期间,谷歌不得不重新定义和调整其工作角色和分类,建立新的主库存服务来跟踪设备,并重新设计用户身份验证和访问控制策略。此后,国内外厂商相继推出了自己的零信任产品或架构,零信任逐渐流行起来。零信任是实现精益信任的第一步。就网络安全而言,零信任模型引入了一些新的思维角度,也解决了很多以前难以解决的问题。然而,在零信任的研究和实施过程中,还存在许多悬而未决的问题。零信任概念中的核心问题之一是“从不信任,始终验证”。信任总是“零”吗?因为信任是业务接入的基石,而业务接入是业务开展的第一步,如果信任永远为“零”,那么如何满足业务接入的需求?零信任如何兼容业务系统和现有安全建设……对此,国际权威IT研究分析机构Gartner在一份研究报告中指出《Zero Trust Is an Initial Step on the Roadmap to CARTA》,“零信任不是目标,精益信任是。(零信任不是目标,精益信任才是。)”。换句话说,零信任是迈向精益信任的第一步。精益信任以风险和信任为核心,重构网络安全架构,通过对信任的精益管控,实现风险的精益管理。与零信任“从不信任,始终验证”的理念不同,精益信任强调“精确、充分”的信任,提倡对信任的精益控制。商业是建立在信任的基础上的,所有的商业交互都需要主体和客体之间的信任。而且,信任与风险是相伴而生的,风险是信任的必然产物。网络安全无法做到“零”风险,信任与风险的反馈控制才是安全的本质。精准管控需要基于多源信息持续评估风险,根据风险等级和安全需求精益建立和调整信任。深信精益信任毫无疑问,以零信任模型为技术理念,投入零信任技术体系研究,构建新时代背景下的新型安全体系,是具有战略眼光的网络安全企业的一件大事。眼光自然要早谋划。作为有远见的安全厂商,深信服在国内率先推出了基于精益信任的解决方案。在2019深信服创新大会上,深信服正式发布了精益信任安全解决方案。深信服精益信任在零信任的基础上得到了提升。深信服认为,零信任解决了边界被打破的问题,但安全不是任何一款安全产品可以单独解决的。安全必须相互关联和协作。零信任需要与其他安全设备联动,形成互补统一的安全体系。深信服精益信任解决方案基于信任与风险的闭环。以aTrust平台为核心,将终端安全、边界安全、态势感知与外网现有安全设备进行统一联动,形成统一的自整定和快速处置体系。安全系统最终实现了对内外网络的“准确、充分”的信任。如上图所示,在精益信任方案中,用户的访问请求和信任判断大致会经历以下过程:1)客户端所有的访问请求都需要经过“控制中心”的信任评估模块,从身份、设备信任度评价,从环境、行为四个维度进行,评价后授予相应的信任等级。2)开始业务访问后,用户后续访问也会通过态势感知中心实时采集和检测流量,分析用户行为,上报动态威胁,再将流量、行为、资源风险结果反馈给“管控”中心”。3)同时,在整个通信过程中,“终端检测与响应”平台会不断从操作系统、文件系统、应用程序、进程状态等方面对终端环境进行评估,并将评估结果反馈给“控制中心”。4)“控制中心”根据策略动态调整授权级别,最终由“控制中心”统一进行风险计算、信任评估、动态授权和权限管理。深信服指出,实现精益信任的关键在于五个方面:综合身份、多源信任评估、动态访问控制、统一安全和增长。作品。其中,增长体现在精益信任可以根据企业的不同发展阶段在功能上有选择地进行部署。同时,在私有化、云化等多种部署场景下,对接终端检测响应、安全感知平台等产品,自适应匹配企业发展的各个场景和阶段,为企业打造量身定制的统一解决方案。企业。保安系统。基于用户需求构建精益信任解决方案说了这么多深信服精信,这时候可能有人会问:深信服精信对用户有什么价值?这些价值可以归纳为三点,“集成且易于实施”、“更高效的保护”、“统一的自动化运维”。首先,该方案可以充分将用户的改造成本控制在较低的范围内。因为深信LeanTrust深信不疑的aTrust平台,可以整合链接各种安全产品,包括EDR、IAM、UEBA等系统,无需购买新的安全设备,即可实现统一安全。以低成本构建易于实施的精益信任解决方案。其次,通过多源信息评估和访问行为身份识别手段,在每一次访问行为中嵌入一个代表身份的身份,极大地缩小了攻击面,降低了企业用户关键资源被入侵的概率。同时,通过信任的动态控制,实现接入安全防护与业务需求的动态平衡,为用户提供更有效、面向未来的安全防护。最后,针对数据和计算资源集中、大量内外部用户频繁访问的复杂场景,LeanTrust可以结合业务需求,实现高度集成的安全防护和便捷统一的自动化运维。例如,大型企业通常有很多业务系统和安全设备。如果采用零信任的安全架构,需要对现有业务进行较大的改造,现有安全设备的对接会出现各种问题。如果采用深信服精益信任解决方案,优势十分明显。因为深信服精益信任解决方案不仅可以自动对接现有业务资产的访问权限和身份信息,还可以为业务系统建立统一的身份认证和单点登录策略,并根据需要建立相应的信任等级评估和调整。业务安全级别策略。然后,通过独特的标签库机制,与现有安全设备日志和实时流量对接,感知全局安全风险。最后根据风险调整信任等级,进行自动化处置。深信服精信信托基于“集成易实施”、“全面身份”、“统一自动化运维”等特点,提供更全面、更易用的安全价值。【原创稿件,合作网站转载请注明原作者和出处为.com】
